En ny dag i handelstävlingen @STRATO_MERCATA. Idag skrev jag en fullständig sammanfattning av Security Header-rapporten: Sammanfattning av säkerhetshuvuden, betyg: F – De flesta rekommenderade HTTP-säkerhetshuvuden saknas: 1. Saknas: Content-Security-Policy Hjälper till att förhindra XSS (Cross-Site Scripting) och kodinmatning. ➤ *Rekommendation:* Lägg till en strikt policy som default-src 'self';. 2. Saknas: X-Content-Type-Options Förhindrar webbläsare från MIME-sniffande svar. ➤ *Rekommendation:* Lägg till X-Content-Type-Options: nosniff. 3. Saknas: Strict-Transport-Security (HSTS) Säkerställer att all trafik använder HTTPS, även om användarna skriver "http". ➤ *Rekommendation:* Lägg till strikt-transport-säkerhet: max-ålder = 63072000; includeSubDomains. 4. Saknas: X-Frame-Options Skyddar mot klickkapning genom att förhindra inbäddning i iframes. ➤ *Rekommendation:* Använd x-frame-options: DENY eller SAMEORIGIN. 5. Saknas: X-XSS-skydd Aktiverar XSS-filtrering i webbläsaren (främst äldre). ➤ *Rekommendation:* Lägg till X-XSS-skydd: 1; mode=block *(valfritt i moderna webbläsare)*. 6. Saknas: Hänvisningspolicy Styr hur mycket hänvisningsinformation som delas under navigeringen. ➤ *Rekommendation:* Använd Referrer-Policy: strict-origin-when-cross-origin. 7. Saknas: Permissions-Policy (tidigare Feature-Policy) Begränsar åtkomsten till känsliga webbläsarfunktioner (t.ex. kamera, mikrofon). ➤ *Rekommendation:* Använd t.ex. Permissions-Policy: geolocation = (), kamera = (). 🙏📖✍️